RedGuard - C2前置流量控制工具教学文档<\/h1>

0x00 工具介绍<\/h2>
RedGuard是一款C2设施前置流量控制工具，使用Go语言开发，具有轻量设计、高效流量交互和可靠兼容性等特点。主要解决红蓝对抗中C2基础设施隐匿问题，通过流量控制功能拦截恶意分析流量。<\/p>

核心功能<\/h3>

拦截Blue Team、AVS、EDR和网络空间搜索引擎的检查<\/li>
防止云沙箱环境下的恶意分析<\/li>
阻止重放攻击，实现混淆上线<\/li>
限制访问IP白名单<\/li>
防范网络空间测绘扫描识别<\/li>
支持多C2服务器前置流量控制<\/li>
基于IP归属地的地域限制<\/li>
请求拦截日志分析<\/li>
自定义合法交互时间段<\/li>
Malleable C2 Profile解析器<\/li>
内置安全厂商IP黑名单<\/li>

自定义SSL证书和重定向URL<\/li> <\/ul>

0x01 安装与初始化<\/h2>

安装方法<\/h3>

git clone https:\/\/github.com\/wikiZ\/RedGuard.git
<\/span><\/span>cd RedGuard
<\/span><\/span>go build -ldflags "-s -w"<\/span>  # 可使用upx压缩减小体积<\/span>
<\/span><\/span>chmod +x .\/RedGuard
<\/span><\/span>.\/RedGuard
<\/span><\/span><\/code><\/pre>初始化配置<\/h3>
首次运行会在用户目录生成配置文件：.RedGuard_CobaltStrike.ini<\/code><\/p>
配置文件包含：<\/p>

cert配置：HTTPS流量交互证书信息<\/li>
proxy配置：反向代理流量控制选项<\/li>
<\/ul>
证书生成在cert-rsa\/<\/code>目录下，可使用自定义证书覆盖ca.crt<\/code>和ca.key<\/code><\/p>
每次启动会更新随机TLS JARM指纹，防止特征关联<\/p>
0x02 配置说明<\/h2>
命令行参数<\/h3>
.\/RedGuard -h
<\/span><\/span>Usage of .\/RedGuard:
<\/span><\/span>  -allowIP string      Proxy Requests Allow IP (<\/span>default "*"<\/span>)<\/span>
<\/span><\/span>  -allowLocation string Proxy Requests Allow Location (<\/span>default "*"<\/span>)<\/span>
<\/span><\/span>  -allowTime string    Proxy Requests Allow Time (<\/span>default "*"<\/span>)<\/span>
<\/span><\/span>  -common string       Cert CommonName (<\/span>default "*.aliyun.com"<\/span>)<\/span>
<\/span><\/span>  -country string      Cert Country (<\/span>default "CN"<\/span>)<\/span>
<\/span><\/span>  -dns string          Cert DNSName
<\/span><\/span>  -drop string         Proxy Filter Enable DROP (<\/span>default "false"<\/span>)<\/span>
<\/span><\/span>  -host string         Set Proxy HostTarget
<\/span><\/span>  -http string         Set Proxy HTTP Port (<\/span>default ":80"<\/span>)<\/span>
<\/span><\/span>  -https string        Set Proxy HTTPS Port (<\/span>default ":443"<\/span>)<\/span>
<\/span><\/span>  -ip string           IPLookUP IP
<\/span><\/span>  -locality string     Cert Locality (<\/span>default "HangZhou"<\/span>)<\/span>
<\/span><\/span>  -location string     IPLookUP Location (<\/span>default "风起"<\/span>)<\/span>
<\/span><\/span>  -malleable string    Set Proxy Requests Filter Malleable File (<\/span>default "*"<\/span>)<\/span>
<\/span><\/span>  -organization string Cert Organization (<\/span>default "Alibaba (China) Technology Co., Ltd."<\/span>)<\/span>
<\/span><\/span>  -redirect string     Proxy redirect URL (<\/span>default "https:\/\/360.net"<\/span>)<\/span>
<\/span><\/span>  -type string         C2 Server Type (<\/span>default "CobaltStrike"<\/span>)<\/span>
<\/span><\/span>  -u                   Enable configuration file modification
<\/span><\/span><\/code><\/pre>0x03 工具使用<\/h2>
基础拦截机制<\/h3>
非法请求（无正确HOST请求头）会被拦截，默认重定向到https:\/\/360.net<\/code><\/p>
拦截方式配置<\/h3>


重定向拦截<\/strong>（默认）：<\/p>

返回状态码200<\/li>
从指定URL获取响应内容<\/li>
配置文件设置：Redirect = https:\/\/example.com<\/code><\/li>
<\/ul>
<\/li>

DROP拦截<\/strong>：<\/p>

直接关闭HTTP连接<\/li>
配置文件设置：DROP = true<\/code><\/li>
命令行修改：.\/RedGuard -u --drop true<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
代理端口修改<\/h3>
修改配置文件：<\/p>
Port_HTTPS<\/span> =<\/span> :443  # HTTPS反向代理端口<\/span>
<\/span><\/span>Port_HTTP<\/span> =<\/span> :80    # HTTP反向代理端口<\/span>
<\/span><\/span><\/code><\/pre>日志记录<\/h3>
拦截日志保存在RedGuard.log<\/code>中<\/p>
请求地域限制<\/h3>
配置示例：<\/p>
AllowLocation<\/span> =<\/span> 济南,北京<\/span>
<\/span><\/span><\/code><\/pre>IP归属地查询：<\/p>
.\/RedGuard --ip 111.14.218.206
<\/span><\/span>.\/RedGuard --ip 111.14.218.206 --location shandong
<\/span><\/span><\/code><\/pre>基于白名单拦截<\/h3>
配置示例：<\/p>
AllowIP<\/span> =<\/span> 172.16.1.1,192.168.1.1<\/span>
<\/span><\/span><\/code><\/pre>基于时间段拦截<\/h3>
配置示例：<\/p>
AllowTime<\/span> =<\/span> 8:00 - 21:00  # 仅允许8:00-21:00进行流量交互<\/span>
<\/span><\/span><\/code><\/pre>Malleable Profile支持<\/h3>
指定C2 Malleable配置文件路径：<\/p>
MalleableFile<\/span> =<\/span> \/path\/to\/Malleable.profile<\/span>
<\/span><\/span><\/code><\/pre>推荐使用风起编写的profile：

https:\/\/github.com\/wikiZ\/CobaltStrike-Malleable-Profile<\/p>
0x04 应用案例<\/h2>
对抗网络空间测绘<\/h3>


DROP模式<\/strong>：<\/p>

测绘探针请求会被直接关闭连接<\/li>
显示端口未开放<\/li>
<\/ul>
<\/li>

重定向模式<\/strong>：<\/p>

测绘探针会收到重定向响应<\/li>
防止目录扫描<\/li>
<\/ul>
<\/li>
<\/ol>
域前置实现<\/h3>


传统域前置<\/strong>：<\/p>

全站加速回源地址设置为反向代理端口<\/li>
HTTPS HOST头需与全站加速域名一致<\/li>
<\/ul>
<\/li>

自建域前置<\/strong>：<\/p>

多个反向代理节点配置相同HOST头<\/li>
指向后端真实C2服务器<\/li>
防火墙仅开放代理端口<\/li>
<\/ul>
<\/li>
<\/ol>
CobaltStrike上线配置<\/h3>
监听器设置：<\/p>

上线端口设置为RedGuard反向代理端口<\/li>
监听端口为本机实际上线端口<\/li>
<\/ul>
示例配置：<\/p>
{
<\/span><\/span>  "360.net"<\/span>: "http:\/\/127.0.0.1:8080"<\/span>,
<\/span><\/span>  "360.com"<\/span>: "https:\/\/127.0.0.1:4433"<\/span>
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>0x05 开发者信息<\/h2>
开发者：风起

相关项目：Kunyu (https:\/\/github.com\/knownsec\/Kunyu)

安全客主页：https:\/\/www.anquanke.com\/member.html?memberId=148652<\/p>
0x06 社区支持<\/h2>

提交issue：项目GitHub页面<\/li>
联系作者：添加WeChat<\/li>
<\/ul>

RedGuard - C2前置流量控制工具教学文档<\/h1>

0x00 工具介绍<\/h2>
RedGuard是一款C2设施前置流量控制工具，使用Go语言开发，具有轻量设计、高效流量交互和可靠兼容性等特点。主要解决红蓝对抗中C2基础设施隐匿问题，通过流量控制功能拦截恶意分析流量。<\/p>

0x01 安装与初始化<\/h2>

0x03 工具使用<\/h2>

基础拦截机制<\/h3>
非法请求（无正确HOST请求头）会被拦截，默认重定向到`https:\/\/360.net<\/code><\/p>`

日志记录<\/h3>
拦截日志保存在`RedGuard.log<\/code>中<\/p>`

0x04 应用案例<\/h2>

0x05 开发者信息<\/h2>
开发者：风起
相关项目：Kunyu (https:\/\/github.com\/knownsec\/Kunyu)
安全客主页：https:\/\/www.anquanke.com\/member.html?memberId=148652<\/p>

0x06 社区支持<\/h2>

提交issue：项目GitHub页面<\/li>
联系作者：添加WeChat<\/li> <\/ul>

RedGuard - C2前置流量控制工具教学文档<\/h1>

0x00 工具介绍<\/h2> RedGuard是一款C2设施前置流量控制工具，使用Go语言开发，具有轻量设计、高效流量交互和可靠兼容性等特点。主要解决红蓝对抗中C2基础设施隐匿问题，通过流量控制功能拦截恶意分析流量。<\/p>

0x01 安装与初始化<\/h2>

0x03 工具使用<\/h2>

基础拦截机制<\/h3> 非法请求（无正确HOST请求头）会被拦截，默认重定向到https:\/\/360.net<\/code><\/p>

日志记录<\/h3> 拦截日志保存在RedGuard.log<\/code>中<\/p>

0x04 应用案例<\/h2>

0x05 开发者信息<\/h2> 开发者：风起 相关项目：Kunyu (https:\/\/github.com\/knownsec\/Kunyu) 安全客主页：https:\/\/www.anquanke.com\/member.html?memberId=148652<\/p>

0x06 社区支持<\/h2> 提交issue：项目GitHub页面<\/li> 联系作者：添加WeChat<\/li> <\/ul>

0x00 工具介绍<\/h2>
RedGuard是一款C2设施前置流量控制工具，使用Go语言开发，具有轻量设计、高效流量交互和可靠兼容性等特点。主要解决红蓝对抗中C2基础设施隐匿问题，通过流量控制功能拦截恶意分析流量。<\/p>

基础拦截机制<\/h3>
非法请求（无正确HOST请求头）会被拦截，默认重定向到`https:\/\/360.net<\/code><\/p>`

日志记录<\/h3>
拦截日志保存在`RedGuard.log<\/code>中<\/p>`

0x05 开发者信息<\/h2>
开发者：风起
相关项目：Kunyu (https:\/\/github.com\/knownsec\/Kunyu)
安全客主页：https:\/\/www.anquanke.com\/member.html?memberId=148652<\/p>

0x06 社区支持<\/h2>

提交issue：项目GitHub页面<\/li>
联系作者：添加WeChat<\/li> <\/ul>